Cisco Talosが米国時間6月3日に公開した「Necro Python」に関する報告書によると、このマルウェアはその能力を高めているという。Necro Pythonは2015年から開発されているとみられている。このボットは、「FreakOut」もしくは「Necro」という別名を持ち、Check Point Research(CPR)が2021年1月に、Netlab 360が3月に詳細を報告している。
Necro Pythonの開発者は、多数の変更を施し、ボットのパワーと汎用性を強化している。ボットには10以上のウェブアプリケーションやSMBプロトコルのエクスプロイトが含まれているという。例えば、「VMWare vSphere」「SCO OpenServer」「Vesta Control Panel」などのエクスプロイトが新たに追加されている。
また、5月18日に公開されたこのボットネットのバージョンには、「EternalBlue」(CVE-2017-0144)と「EternalRomance」(CVE-2017-0147)のエクスプロイトも含まれる。
ボットはまず、「Linux」ベースのOSと「Windows」OSでこれらの脆弱性を悪用しようとする。Javaベースのダウンローダーも感染の初期段階で利用される。Pythonインタプリターと悪意のあるスクリプト、「pyinstaller」で作成した実行ファイルも悪用し、侵害したシステムをスレーブマシンとしてボットネットに仕立てようとするようだ。
その後、Necro Pythonはコマンド&コントロール(C2)サーバーとの接続を確立してオペレーターとつながり、コマンドを受信して、ネットワークを傍受してデータを盗み出そうとしたり、さらなるマルウェアペイロードを展開したりする。
コードは、仮想通貨(暗号資産)マイナーの「XMRig」プログラムをダウンロードし、実行するようになっている。侵害したマシンのリソースを不正に使用し、仮想通貨「Monero」を採掘するという。
研究者らによると、「感染したシステムのHTMLファイルやPHPファイルに、攻撃者が管理するサーバーからコードを挿入して、JavaScriptベースのマイナーをダウンロードして実行する」。そして「ユーザーが感染したアプリケーションを開くと、JavaScriptベースのMoneroマイナーがブラウザーのプロセススペース内で実行される」という。
ボットは、DDoS(分散型サービス拒否)攻撃、ネットワークのスニッフィングなどを行う機能も備えている。
また、ユーザーモードのルートキットをインストールし、ユーザーがログインするたびにボットが動き、永続性を維持するが、その存在に気づかれないよう、悪意のあるプロセスやレジストリーエントリーは隠されているという。
Necro Pythonのもう1つの注目すべきアップデートにポリモーフィックな機能がある。ボットの作成者は、より検出を困難にさせようとしているとみられ、イテレーションごとにスクリプトコードを変更させるポリモーフィックエンジンを追加したという。
Talosは、「Necro Pythonボットの攻撃者は、さまざまなウェブアプリケーション上で、リモートコマンド実行のエクスプロイトの最新の進展をフォローし、ボットで新しいエクスプロイトを活用している。このため拡大して、システムが感染する可能性が高くなる。ユーザーはOSだけでなく、すべてのアプリケーションに必ず定期的に最新のセキュリティーアップデートを適用する必要がある」と注意を促している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
